Office fra pacchi e bachi

Office fra pacchi e bachi

Microsoft ha di recente rilasciato il secondo service pack per Office XP e una patch che corregge tre vulnerabilità legate ad un noto componente di Office
Microsoft ha di recente rilasciato il secondo service pack per Office XP e una patch che corregge tre vulnerabilità legate ad un noto componente di Office


Redmond (USA) – A nove mesi di distanza dal rilascio del primo pacco , la scorsa settimana Microsoft ha pubblicato un nuovo service pack (SP2) per Office XP che, secondo quanto riportato nella relativa home page , “contiene significativi miglioramenti relativi alla protezione, alla stabilità e alle prestazioni”. Il pacchetto include tutte le patch rese disponibili dopo il rilascio dell'SP1, incluse alcune che non erano mai state rilasciate al pubblico.

Sebbene il nuovo service pack possa essere scaricato in versione integrale (15 MB) da qui , Microsoft suggerisce ai propri utenti di avvalersi del servizio ” Aggiornamento prodotti ” che, similmente a quanto fa Windows Update, verifica il livello di aggiornamento dei propri pacchetti e scarica solo gli update necessari. Il pacco, che può essere ordinato su CD, è anche disponibile nella versione per amministratori di rete

Il big di Redmond sostiene di essersi avvalsa, per lo sviluppo dell'SP2, del proficuo feedback degli utenti pervenuto sia attraverso il proprio servizio di supporto tecnico sia attraverso lo strumento ” Segnalazione errori ” incluso nell'ultima versione di Office.

Il nuovo service pack, che sarà necessario per l'installazione di tutti i futuri aggiornamenti ad Office XP, può essere applicato solo ai sistemi già aggiornati con l' SP1 (scaricabile da qui ).

Subito a ridosso dell'SP2, Microsoft ha rilasciato una patch che corregge tre vulnerabilità di sicurezza, due delle quali classificate come “critical” e tutte relative al “famigerato” Office Web Components (OWC), una serie di controlli ActiveX che permettono agli utenti di accedere ad alcune delle funzionalità base di Office attraverso un browser Web, questo anche in assenza della suite di Microsoft.

Le tre falle, che riguardano alcune funzioni fornite dalla versione 2000 e 2002 dell'OWC – Host() , LoadText() e Copy()/Paste() – possono consentire ad un aggressore di eseguire comandi del sistema operativo con gli stessi diritti dell'utente locale, leggere qualsiasi file presente sul sistema vittima e leggere i testi contenuti nel buffer della clipboard.

Il componente OWC viene utilizzato da una vasta gamma di applicativi Microsoft, fra cui le versioni più recenti di BackOffice, BizTalk, Commerce Server, Small Business Server, Money e Project.

La società di sicurezza GreyMagic Software sostiene di aver sottoposto le tre vulnerabilità a Microsoft almeno cinque mesi fa, un arco di tempo durante il quale anche il ben noto cacciatore di bachi Georgi Guninski ha più volte criticato la sicurezza del componente OWC.

La patch, descritta nel bollettino di sicurezza MS02-044 , può essere scaricata da qui o attraverso il servizio Office Product Updates .